Unboundで構築する高速DNSキャッシュサーバー入門

に公開
DNS
unbound
自宅サーバー
セルフホスティング
tech

Unboundで構築する高速DNSキャッシュサーバー入門

自前のDNSキャッシュサーバーを構築することで、プライバシー保護と応答速度の大幅な改善が実現できます。本記事では、Unboundを使用した基本的なDNSサーバーの構築手順を解説します。

Unboundとは

Unboundは軽量で高速なDNSリゾルバーです。BINDよりもシンプルで、dnsmasqよりも高機能という絶妙なポジションで、多くの環境で採用されています。

インストールと初期設定

環境準備

# Ubuntu/Debian環境を前提
sudo apt update && sudo apt upgrade -y

# Unboundインストール
sudo apt install unbound unbound-anchor dnsutils -y

# バージョン確認
unbound -V

ルートヒントの設定

# 最新のルートサーバー情報を取得
sudo wget -O /var/lib/unbound/root.hints \
    https://www.internic.net/domain/named.cache

# DNSSEC用ルートキー初期化
sudo unbound-anchor -a /var/lib/unbound/root.key

# 権限設定
sudo chown -R unbound:unbound /var/lib/unbound

基本設定ファイル

# /etc/unbound/unbound.conf.d/01-basic.conf
server:
    # ネットワーク設定
    interface: 0.0.0.0
    port: 53

    # アクセス制御(ローカルネットワークのみ許可)
    access-control: 127.0.0.0/8 allow
    access-control: 192.168.0.0/16 allow
    access-control: 10.0.0.0/8 allow
    access-control: 0.0.0.0/0 refuse

    # プロトコル設定
    do-ip4: yes
    do-ip6: yes
    do-udp: yes
    do-tcp: yes

    # 基本的なプライバシー保護
    hide-identity: yes
    hide-version: yes

    # ルートヒント指定
    root-hints: "/var/lib/unbound/root.hints"

    # 基本的なキャッシュ設定
    cache-max-ttl: 86400
    cache-min-ttl: 60

    # プリフェッチで応答速度改善
    prefetch: yes

サービス起動と確認

# 設定ファイルの検証
sudo unbound-checkconf

# サービス起動・自動起動設定
sudo systemctl enable --now unbound

# 状態確認
sudo systemctl status unbound

# 動作テスト
dig @127.0.0.1 google.com

# 応答時間の確認(Query timeに注目)
dig @127.0.0.1 github.com | grep "Query time"

systemd-resolvedとの競合解決

Ubuntu環境では、systemd-resolvedが53番ポートを使用しているため競合が発生します。

# systemd-resolved無効化
sudo systemctl disable --now systemd-resolved

# 既存のresolv.confを削除
sudo rm /etc/resolv.conf

# 新しいresolv.conf作成
echo "nameserver 127.0.0.1" | sudo tee /etc/resolv.conf

# 書き込み保護
sudo chattr +i /etc/resolv.conf

簡易パフォーマンステスト

# 100回のDNSクエリでテスト
for i in {1..100}; do
    dig @127.0.0.1 example.com +short > /dev/null
done

# キャッシュ状態の確認
sudo unbound-control stats | grep "total.num"

運用コマンド

# キャッシュクリア(全体)
sudo unbound-control flush_zone .

# 特定ドメインのキャッシュクリア
sudo unbound-control flush google.com

# 統計情報表示
sudo unbound-control stats

# 設定リロード(再起動なし)
sudo unbound-control reload

基本設定での性能

この基本設定でも、以下のような改善が期待できます:

  • 初回クエリ: 20-50ms(ISP DNSと同等)
  • キャッシュヒット時: 0.1-1ms(10倍以上高速)
  • プライバシー: 完全にローカル制御

さらなる最適化について

この基本設定は最小構成です。実運用環境では、以下の最適化でさらなる性能向上が可能です:

  • メモリチューニング: 応答速度を5-10倍改善
  • DNSSEC設定: セキュリティ強化
  • DoT/DoH対応: 暗号化DNS通信
  • AdGuardHome連携: 広告ブロック統合

詳細な最適化設定とベンチマーク結果はブログで解説しています 👇

Unbound DNS完全構築ガイド:パフォーマンス10倍改善の実装例

  • 実測ベンチマークデータ
  • トラブルシューティング事例集
  • AdGuardHomeとの連携設定
  • 本番環境での運用ノウハウ

まとめ

Unboundの基本設定だけでも、十分実用的なDNSキャッシュサーバーが構築できます。プライバシー保護と応答速度改善を同時に実現したい方は、ぜひ試してみてください。

関連記事

投稿者: @junchi_kurin
技術ブログ: blog.junchi8.com

Discussion